phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Frage zu "additional Headers" im Mailcommando

Jens Giessmann jg at handcode.de
Don Dez 1 17:16:55 CET 2005

Vorherige Nachricht: [php] Frage zu "additional Headers" im Mailcommando
Nächste Nachricht: [php] Frage zu "additional Headers" im Mailcommando
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hi Lutz,

On Thu, Dec 01, 2005 at 05:09:29PM +0100, Lutz Zetzsche wrote:
> Wenn Du z.B. den Namen oder E-Mail-Adresse aus dem Formular in die 
> zusätzlichen Header schreibst, dann prüfst Du eben vorher, ob dort nur 
> erlaubte Zeichen drin sind. Zeichen, die nicht ausdrücklich erlaubt sind, 
> werden dabei einfach entfernt, z.B. /n und /r.
> 
> Ich sehe also eigentlich kein Problem bei PHP. Mit fehlerhafter Programmierung 
> kann man natürlich riesige Sicherheitslöcher reißen, die ein Angreifer 
> wunderbar nutzen kann, um vielleicht sogar den ganzen Rechner zu knacken.

Damit hast du an sich zwar recht, aber die Frage, warum die Funktion
mail() nicht zusaetzlich(?) prueft dass keine 2 \n direkt aufeinander
als additional_headers reinkommen ist auch nicht unberechtigt, denn
das macht einfach keinen Sinn.

Gruss Jens

Vorherige Nachricht: [php] Frage zu "additional Headers" im Mailcommando
Nächste Nachricht: [php] Frage zu "additional Headers" im Mailcommando
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive